U盘病毒OSO.exe分析与查杀
<p><font color="#0938f7">第1贴为病毒分析,第2贴为查杀方法</font></p><p>病毒名:Worm.Pabug.ck </p><p>大小:38,132 字节 <br/>MD5:2391109c40ccb0f982b86af86cfbc900 <br/>加壳方式:FSG2.0 <br/>编写语言:Delphi </p><p><br/>传播方式:通过移动介质或网页恶意脚本传播 </p><p>经虚拟机中运行,与脱壳后OD分析结合,其行为如下: </p><p>文件创建: <br/>%systemroot%\system32\gfosdg.exe <br/>%systemroot%\system32\gfosdg.dll <br/>%systemroot%\system32\severe.exe <br/>%systemroot%\system32\drivers\mpnxyl.exe <br/>%systemroot%\system32\drivers\conime.exe <br/>%systemroot%\system32\hx1.bat <br/>%systemroot%\system32\noruns.reg <br/>X:\OSO.exe <br/>X:\autorun.inf <br/>X指非系统盘符 <br/>%systemroot%是环境变量,对于装在C盘的Windows XP系统,默认路径为C:\WINDOWS文件夹,以下以此假设进行分析。 </p><p>创建进程: <br/>%systemroot%\system32\gfosdg.exe <br/>%systemroot%\system32\severe.exe <br/>%systemroot%\system32\drivers\conime.exe </p><p>使用net stop命令,结束可能存在的杀毒软件服务 </p><p>调用sc.exe, <br/>config [对应服务] start=disabled <br/>禁用这些服务 </p><p>被结束和禁用的服务包括: <br/>srservice <br/>sharedaccess(此即系统自带防火墙——笔者注) <br/>KVWSC <br/>KVSrvXP <br/>kavsvc <br/>RsRavMon <br/>RsCCenter </p><p>其中,在结束瑞星服务的过程中,由于瑞星会弹出提示,病毒作了相应处理: <br/>用FindWindowA函数,捕捉标题为"瑞星提示"的窗口 <br/>用FindWindowExA函数,找到其中“是(&Y)”的按钮 <br/>用SendMessageA函数向系统发送信息,相当于按下此按钮 </p><p><br/>禁止或结束以下进程运行,包括但不限于: <br/>PFW.exe <br/>Kav.exe <br/>KVOL.exe <br/>KVFW.exe <br/>adam.exe <br/>qqav.exe <br/>qqkav.exe <br/>TBMon.exe <br/>kav32.exe <br/>kvwsc.exe <br/>CCAPP.exe <br/>EGHOST.exe <br/>KRegEx.exe <br/>kavsvc.exe <br/>VPTray.exe <br/>RAVMON.exe <br/>KavPFW.exe <br/>SHSTAT.exe <br/>RavTask.exe <br/>TrojDie.kxp <br/>Iparmor.exe <br/>MAILMON.exe <br/>MCAGENT.exe <br/>KAVPLUS.exe <br/>RavMonD.exe <br/>Rtvscan.exe <br/>Nvsvc32.exe <br/>KVMonXP.exe <br/>Kvsrvxp.exe <br/>CCenter.exe <br/>KpopMon.exe <br/>RfwMain.exe <br/>KWATCHUI.exe <br/>MCVSESCN.exe <br/>MSKAGENT.exe <br/>kvolself.exe <br/>KVCenter.kxp <br/>kavstart.exe <br/>RAVTIMER.exe <br/>RRfwMain.exe <br/>FireTray.exe <br/>UpdaterUI.exe <br/>KVSrvXp_1.exe <br/>RavService.exe </p><p>创建noruns.reg,并导入注册表,之后删除此文件。导入内容: <br/> <br/>"NoDriveTypeAutoRun"=dword:b5 <br/>改变驱动器的autorun方式(在我的虚拟机里没有实现) </p><p>修改注册表,创建启动项(后来在SREng日志中可见的项目): <br/> <br/><mpnxyl><C:\WINDOWS\system32\gfosdg.exe> <br/><gfosdg><C:\WINDOWS\system32\severe.exe> <br/> <br/><shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> </p><p>为预防瑞星注册表监控提示,故伎重施: <br/>用FindWindowA函数捕捉标题为“瑞星注册表监控提示”的窗口 <br/>用mouse_event控制鼠标自动选择允许修改。 </p><p>访问注册表 <br/> <br/>CheckedValue键 <br/>破坏显示隐藏文件的功能(这一点在我的虚拟机中没有实现,可能是被TINY或SSM默认阻止了) </p><p><br/>然而,做了这么多工作除去杀毒软件之后,作者似乎觉得还不保险,他终于使出了“杀手锏”: <br/>在注册表 <br/> <br/>创建以安全软件程序名为名的子项 </p><p>子项中创建子键 <br/>"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe" <br/>使得这些程序在被双击运行时,均会转为运行病毒文件mpnxyl.exe <br/>形如: </p><p> <br/>"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe" </p><p>autoruns的日志中可以清楚地看到这些项目,以及遭到这种手法“蹂躏”的程序: <br/>+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ adam.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ avp.com c:\windows\system32\drivers\mpnxyl.exe <br/>+ avp.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe <br/>+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe <br/>+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe <br/>+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ regedit.com c:\windows\system32\drivers\mpnxyl.exe <br/>+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe <br/>+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe <br/>+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe </p><p>删除卡卡助手的dll文件kakatool.dll(的确这么做了,虚拟机运行的结果和程序代码里的内容相映证) </p><p>为了堵死中毒者的“后路”,又采取了另一种卑劣的手法 <br/>修改hosts文件,屏蔽杀毒软件厂商的网站,卡卡社区“有幸”成为被屏蔽的其中一员: <br/>这是后来用SREng看到的结果,在程序代码里也有相应内容: </p><p>127.0.0.1 mmsk.cn <br/>127.0.0.1 ikaka.com <br/>127.0.0.1 safe.qq.com <br/>127.0.0.1 360safe.com <br/>127.0.0.1 <a href="http://www.mmsk.cn/">www.mmsk.cn</a><br/> <br/>127.0.0.1 <a href="http://www.ikaka.com/">www.ikaka.com</a><br/> <br/>127.0.0.1 tool.ikaka.com <br/>127.0.0.1 <a href="http://www.360safe.com/">www.360safe.com</a><br/> <br/>127.0.0.1 zs.kingsoft.com <br/>127.0.0.1 forum.ikaka.com <br/>127.0.0.1 up.rising.com.cn <br/>127.0.0.1 scan.kingsoft.com <br/>127.0.0.1 kvup.jiangmin.com <br/>127.0.0.1 reg.rising.com.cn <br/>127.0.0.1 update.rising.com.cn <br/>127.0.0.1 update7.jiangmin.com <br/>127.0.0.1 download.rising.com.cn <br/>127.0.0.1 dnl-us1.kaspersky-labs.com <br/>127.0.0.1 dnl-us2.kaspersky-labs.com <br/>127.0.0.1 dnl-us3.kaspersky-labs.com <br/>127.0.0.1 dnl-us4.kaspersky-labs.com <br/>127.0.0.1 dnl-us5.kaspersky-labs.com <br/>127.0.0.1 dnl-us6.kaspersky-labs.com <br/>127.0.0.1 dnl-us7.kaspersky-labs.com <br/>127.0.0.1 dnl-us8.kaspersky-labs.com <br/>127.0.0.1 dnl-us9.kaspersky-labs.com <br/>127.0.0.1 dnl-us10.kaspersky-labs.com <br/>127.0.0.1 dnl-eu1.kaspersky-labs.com <br/>127.0.0.1 dnl-eu2.kaspersky-labs.com <br/>127.0.0.1 dnl-eu3.kaspersky-labs.com <br/>127.0.0.1 dnl-eu4.kaspersky-labs.com <br/>127.0.0.1 dnl-eu5.kaspersky-labs.com <br/>127.0.0.1 dnl-eu6.kaspersky-labs.com <br/>127.0.0.1 dnl-eu7.kaspersky-labs.com <br/>127.0.0.1 dnl-eu8.kaspersky-labs.com <br/>127.0.0.1 dnl-eu9.kaspersky-labs.com <br/>127.0.0.1 dnl-eu10.kaspersky-labs.com </p><p>另外: </p><p>hx1.bat内容: <br/>@echo off <br/>set date=2004-1-22 <br/>ping ** localhost > nul <br/>date %date% <br/>del %0 </p><p>改日期?不过在虚拟机里没有实现 </p><p>autorun.inf的内容: <br/> <br/>open=OSO.exe <br/>shellexecute=OSO.exe <br/>shell\Auto\command=OSO.exe </p><p>如果你要从右键菜单来判别,很不幸,右键菜单完全看不出异常,无论你是双击还是右键,同样会激活病毒! </p><p>TINY还记录到,病毒关闭系统还原服务后再打开。这恐怕会导致丢失还原点的结果。 </p>[此贴子已经被作者于2007-4-19 9:29:51编辑过] <p>至此这个十分恶劣的病毒的行为分析告一段落,下面介绍清除方法(上面内容看得头晕的会员们,直接看清除方法即可) </p><p><br/>清除方法归结为一句话:“夹缝中求生” <br/>IceSword.exe、SREng.exe均被禁,但只需将文件改名,照样可以运行 <br/>autoruns.exe则不在被禁的行列 <br/>其他的被禁程序,一步步解禁 </p><p>具体过程: </p><p>结束进程: <br/>%systemroot%\system32\gfosdg.exe <br/>%systemroot%\system32\severe.exe <br/>%systemroot%\system32\drivers\conime.exe <br/>没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等 </p><p>用autoruns删除以下项目(建议用autoruns,一是没被禁,二是一目了然,注意先选Options-Hide Microsoft Entries): <br/>+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ adam.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ avp.com c:\windows\system32\drivers\mpnxyl.exe <br/>+ avp.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe <br/>+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe <br/>+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe <br/>+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ regedit.com c:\windows\system32\drivers\mpnxyl.exe <br/>+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe <br/>+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe <br/>+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe <br/>+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe </p><p>这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止 </p><p>删除或修改启动项: <br/>以用SREng为例 <br/>在“启动项目”-“注册表”中删除: <br/> <br/><mpnxyl><C:\WINDOWS\system32\gfosdg.exe> <br/><gfosdg><C:\WINDOWS\system32\severe.exe> </p><p>双击以下项目,把“值”中Explorer.exe后面的内容删除 <br/> <br/><shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> </p><p>删除文件: <br/>由于非系统盘即便右键打开也会有危险,应该采用其他方法,推荐用IceSword或WINRAR来做 <br/>删除: <br/>%systemroot%\system32\gfosdg.exe <br/>%systemroot%\system32\gfosdg.dll <br/>%systemroot%\system32\severe.exe <br/>%systemroot%\system32\drivers\mpnxyl.exe <br/>%systemroot%\system32\drivers\conime.exe <br/>%systemroot%\system32\hx1.bat <br/>%systemroot%\system32\noruns.reg <br/>X:\OSO.exe <br/>X:\autorun.inf </p><p>系统修复与清理: </p><p>在注册表展开 <br/> <br/>建议将原CheckedValue键删除,再新建正常的键值: <br/>"CheckedValue"=dword:00000001 </p><p> <br/>NoDriveTypeAutoRun键的值,是否要改,要改为什么,视乎各人所需,一般默认为91(十六进制的) <br/>此键的含义,请搜索网上资料,在此不再赘述 </p><p>HOSTS文件的清理 <br/>可以用记事本打开%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的内容 <br/>也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”,然后点“保存” </p><p>最后修复一下服务被破坏的杀毒软件。 </p><p>小结: <br/>从拿到样本到方法写完,历时整整五小时。之所以要说得如此详细,是因为这个病毒相当的典型,尤其是它对付安全软件的几种方法。右键菜单没变化,也是比较“隐蔽”而且给清除带来麻烦的一个特征。对付这个病毒,也要在“知己知彼”的基础上,灵活运用方法和工具。 </p><p>最近的灰鸽子、熊猫兄弟、Trojan,仇英很流行.大家都要小心..</p> 这个办公的电脑上很多~
页:
[1]